SRXでIPsecのAggressive Modeを使用する時の注意点

SRX
IPsecで対向のグローバルアドレスが固定でない場合、
アグレッシブモードでIDを指定することになると思うが、
SRXの場合、IDの形状によって指定するコマンドが変わってくるので注意。

軽くハマったので忘れないうちにメモしておく。


ローカルIDの指定方法


通常は以下のようなコマンドを使用してローカルIDを指定する。

set security ike gateway [GW Name] local-identity hostname "[ID]"


[ID]部分に指定するローカルIDを入れるわけだ。
例えばローカルID「test」を指定してみるとこんな感じ。

set security ike gateway AAA local-identity hostname "test"


ローカルIDが「test.com」でもやり方は一緒。

set security ike gateway AAA local-identity hostname "test.com"


hostnameコマンドの後に指定したいローカルIDを記載すれば良い。
至って簡単だ。

だがしかし、ローカルIDが「user@test.com」だった場合は一味違う。
同様に指定したのではなぜだか上手くつながらない。

set security ike gateway AAA local-identity hostname "user@test.com"


色々と調べてみると、ローカルIDに「@」が含まれる場合、
使用するコマンドが変わってくるとのこと。
まぢかよ!たかがそれだけのためにコマンド変えちゃうのか!

んで、正しくはこんな感じになる。

set security ike gateway AAA local-identity user-at-hostname "user@test.com"


@」が付くからなのかは知らないが、user-at-hostnameコマンドを使用する必要がある。
出たよ、SRXの謎仕様!最早何も言うまい・・・。


ちなみに、対向側では以下のように指定する。

set security ike gateway BBB dynamic user-at-hostname "user@test.com"


やはりこちらもuser-at-hostnameを使用する。
「@」が無ければ「hostname test」や「hostname test.com」となるのは一緒だ。


細かい所だけど、知らなければハマりポイントなので
頭の片隅にでも置いておくことにしよう。


以上。



Junos設定&管理 完全Bible


人気記事